Krytyczna podatność w Oracle
CSIRT CeZ ostrzega przed krytyczną podatnością w Oracle, która pozwala nieuwierzytelnionemu użytkownikowi wykonać dowolny kod na zaatakowanym serwerze.
Charakterystyka podatności
- oznaczenie: CVE-2026-21992
- CVSS: 3.1 9,8 (Critical)
Jak działa podatność
Atakujący, mając jedynie dostęp do sieci HTTP, może bez jakiejkolwiek autoryzacji wykonać dowolny kod na zaatakowanym serwerze: bez logowania, bez hasła, bez tokenu. Luka jest wyjątkowo łatwa do wykorzystania i może prowadzić do pełnego przejęcia systemu.
Wykorzystanie podatności może prowadzić m.in. do:
- wycieku poufnych danych
- eskalacji uprawnień
- możliwości całkowitego zakłócenia działania systemów
- manipulacji i uszkodzenie konfiguracji systemu tożsamości
- wejścia do dalszych segmentów infrastruktury
Podatne systemy
Oracle Identity Manager i Oracle Web Services Manager w wersjach 12.2.1.4.0 i 14.1.2.1.0.
Działania zapobiegawcze
Wgranie poprawek zgodnie z zaleceniem producenta.